Numéro : AL21-007 – MISE À JOUR 1
Date : 15 avril 2021
Mise à jour: 7 mai 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
La National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) ont publié un bulletin de sécurité conjoint [1] présentant en détail comment des auteurs de menaces persistantes avancées (MPA) ont ciblé et exploité plusieurs vulnérabilités.
MISE À JOUR 1
Le 7 mai 2021, le National Cyber Security Centre (NCSC-UK) du Royaume-Uni a publié un bulletin de sécurité présentant de l’information additionnelle sur les auteurs de MPA et comportant les vulnérabilités exploitées et les techniques post-exploitation. [6]
ÉVALUATION
Le 15 avril 2021, la NSA, la CISA et le FBI ont publié un bulletin de sécurité conjoint [1] pour faire état d’activités de balayage étendues et de l’exploitation de plusieurs vulnérabilités par des auteurs de MPA. On indique dans le bulletin de sécurité que les auteurs de MPA ciblent des systèmes vulnérables pour obtenir des justificatifs d’identité et accéder plus en profondeur aux réseaux, notamment aux systèmes de sécurité nationale et aux systèmes du gouvernement.
Parmi les activités récentes, on note la compromission des mises à jour de SolarWinds Orion, le ciblage d’installations de recherches sur la COVID-19 et l’exploitation d’une vulnérabilité Vmware pour l’abus d’authentification.
Le bulletin de sécurité souligne que les vulnérabilités suivantes ont été exploitées :
- CVE-2018-13379 Fortinet [2] [3]
- CVE-2019-9670 Zimbra [3]
- CVE-2019-11510 Pulse Secure [3], [4]
- CVE-2019-19781 Citrix [3]
- CVE-2020-4006 VMware [5]
MISE À JOUR 1 [6]
- CVE-2020-5902 F5 Big-IP
- CVE-2020-14882 Oracle WebLogic
- CVE-2021-21972 VMWare vSphere
- CVE-2019-1653 Cisco router
- CVE-2019-2725 Oracle WebLogic Server
- CVE-2019-7609 Kibana
- CVE-2021-26857 Exchange (SOAP payload)
- CVE-2021-26858 Exchange (Arbitrary files)
- CVE-2021-27065 Exchange (Arbitrary files)
Le Centre pour la cybersécurité souhaite attirer l’attention sur ce bulletin, car il fournit de l’information importante aux exploitants et aux propriétaires de systèmes qui sont responsables de défendre leurs systèmes et leurs réseaux contre les cybermenaces.
Des mises à jour logicielles et des mesures d’atténuation sont disponibles pour ces vulnérabilités. Consultez les publications passées du Centre pour la cybersécurité et de ses partenaires pour avoir plus de détails.
Si une activité correspondant au contenu de cette alerte est détectée, les destinataires sont encouragés à contacter le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).
RÉFÉRENCES
[1] APT Actors Exploit Vulnerabilities to Gain Initial Access for Future Attacks (NSA, CISA, FBI)
https://media.defense.gov/2021/Apr/15/2002621240/-1/-1/0/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF (en anglais seulement)
[2] Alerte du Centre pour la cybersécurité : Exploitation de vulnérabilités dans FortiOS de Fortinet (CISA et FBI) — AL21-005
https://cyber.gc.ca/fr/avis/exploitation-de-vulnerabilites-dans-fortios-de-fortinet-cisa-et-fbi
[3] Publication conjointe : APT29 targets COVID-19 vaccine development
https://media.defense.gov/2020/Jul/16/2002457639/-1/-1/0/NCSC_APT29_ADVISORY-QUAD-OFFICIAL-20200709-1810.PDF (en anglais seulement)
[4] Poursuite de l’exploitation des réseaux privés virtuels (RPV) Pulse Secure (CISA) par des auteurs de menace après l’application de correctifs — AL20-012
https://cyber.gc.ca/fr/avis/poursuite-de-lexploitation-des-reseaux-prives-virtuels-rpv-pulse-secure-cisa-par-des-auteurs
[5] Exploitation active d’une vulnérabilité liée à Vmware — AL20-027
https://cyber.gc.ca/fr/avis/exploitation-active-dune-vulnerabilite-liee-vmware
[6] Publication conjointe : Autres tactiques, techniques et procédures (TTP) associées à des auteurs de MPA malveillants
https://www.ncsc.gov.uk/news/joint-advisory-further-ttps-associated-with-svr-cyber-actors (en anglais seulement)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.